|
|
之前,我们已经介绍过名为“幽灵”的广告插件(AdWare.Win32.BHO.fay)。但由于近期该程序在我们所截获恶意程序中占了很大的比例,所以有必要再详细谈一谈此程序。
该插件是一种浏览器辅助对象(BHO),它可以随着被感染计算机中的的IE浏览器自动加载。该插件不仅会在计算机用户不知情的情况下自动隐蔽安装,并且它还采用了nSPack加密技术。它会自动查找并关闭被感染计算机中的反病毒程序。其自我保护机制非常完善,这使得用户很难发现它的存在。此广告插件可以通过访问受感染网站、广告下载器下载等途径感染用户计算机。一旦感染计算机,它会修改、删除和写入大量注册表信息,对计算机系统造成一定破坏。并且它会频繁弹出广告信息,占用大量计算机资源,干扰用户正常使用计算机并造成用户的个人隐私泄露。
该插件是“广告”和“软件”的优化结合体。目前有专门的软件用于发布广告。例如通过弹出文字窗口引导用户购买某类商品或者直接、间接的访问相应的超级链接等方式。
Win32应该不需要解释了。Win32指的是基于Intel x86 处理器的微软Windows操作平台。这说明,该程序只能运行在微软 Windows 平台上。而这个平台正是大多数用户所使用的。对于BHO,一些资深用户可能了解,但未必大多数用户都清楚BHO代表什么?
BHO是Browser Help Object (浏览器辅助对象)的首字母缩写。浏览器辅助对象(BHO)是针对微软的IE浏览器(Internet Explorer)插件的 DLL模块,用来增强浏览器的功能。
有些BHO模块能够使浏览器支持更多的文件格式。例如Adobe Acrobat 的插件允许用户通过浏览器查看PDF文件,这个插件就是一个BHO。而有些模块可以在Internet Explorer添加工具栏。例如Alexa Toolbar可以给出提供与用户正在浏览网页相似的网站链接,或者如Google Toolbar会在浏览器的用户界面添加一个google的搜索框,又或者可以是反病毒产品的模块。但需要注意的是,BHO既然可以用于好的目的,同样也可以被恶意使用。由于BHO是加载到浏览器进程中的,它可以用于收集用户浏览信息。而BHO开发者就可以利用这些信息。其中一项方式就是利用BHO充当间谍软件。
关于理论知识,暂时就讲到这里。现在,让我们来分析一下该程序。
我们截获的该程序样本是采用nSPack加密的。这种加密方式可以避免该程序被反编译。而且我们发现此程序采用了很多反调试技术,而且可以躲过很多反病毒软件的检测。例如:
Jiangmin 江民
Symantec 赛门铁克
Network Associates
Kingsoft 金山毒霸
Avast
Kaspersky 卡巴斯基
BitDefender
Eset
Panda
一旦发现有BHO检测进程,就会被该程序终止。
而且,该程序会在windows的注册表修改并加入以下键值:
HKEY_CURRENT_USE\Software\Microsoft\Internet Explorer\TypedUrls
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5FE67395-2944-4724-8C8F-9F17F3F1B57E}HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{ECBDBED2-F6C6-46EA-B86F-DE6E919FF1E4}\DisplayName= "Yahoo!"
而且会删除以下注册表项目:
HKEY_LOCAL_MACHINE\SOFTWARE\\HotTools
HKEY_LOCAL_MACHINE\SOFTWARE\\wanglian
HKEY_CLASSES_ROOT\SearchHook.SrchHook
HKEY_CLASSES_ROOT\SearchHook.SrchHook.1
HKEY_CLASSES_ROOT\SearchHook.URLSearchHook
HKEY_CLASSES_ROOT\SearchHook.URLSearchHook.1
HKEY_LOCAL_MACHINE\SOFTWARE\\Classes\\SearchHook.SrchHook HKEY_LOCAL_MACHINE\SOFTWARE\\Classes\\SearchHook.SrchHook.1 HKEY_LOCAL_MACHINE\SOFTWARE\\Classes\\SearchHook.URLSearchHook HKEY_LOCAL_MACHINE\SOFTWARE\\Classes\\SearchHook.URLSearchHook.1
HKEY_LOCAL_MACHINE, "SOFTWARE\\Classes\\SearchHook.SrchHook.1
HKEY_LOCAL_MACHINE, "SOFTWARE\\Classes\\SearchHook.SrchHook.1
HKEY_CLASSES_ROOT\TypeLib\\{F08555A1-9CC3-11D2-AA8E-000000000000}
HKEY_CLASSES_ROOT\CLSID\\{F08555B0-9CC3-11D2-AA8E-000000000000}
HKEY_CLASSES_ROOT\CLSID\\{C5067F59-9D0D-11D2-AA90-000000000000}
HKEY_CLASSES_ROOT\Interface\\{A98F6785-C9A8-4BE6-BFFA-B75773DE33A5}
HKEY_CLASSES_ROOT\Interface\\{F08555AF-9CC3-11D2-AA8E-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\{F08555B0-9CC3-11D2-AA8E-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\\CLASSES\\TYPELIB\\{F08555A1-9CC3-11D2-AA8E-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\\CLASSES\\CLSID\\{C5067F59-9D0D-11D2-AA90-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\\CLASSES\\INTERFACE\\{A98F6785-C9A8-4BE6-BFFA-B75773DE33A5}
HKEY_LOCAL_MACHINE\SOFTWARE\\CLASSES\\INTERFACE\\{F08555AF-9CC3-11D2-AA8E-000000000000} HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\HotTool
删除以下注册表键值:
HKEY_CURRENT_USER\SOFTWARE\\Microsoft\\Internet Explorer\\URLSearchHooks\{F08555B0-9CC3-11D2-AA8E-000000000000
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Internet Explorer\\Toolbar\{BE830FD4-E393-417F-9F4B-CC70ABB3384C}
HKEY_CURRENT_USER\SOFTWARE\\Microsoft\\Internet Explorer\\Toolbar\\WebBrowser\{BE830FD4-E393-417F-9F4B-CC70ABB3384C}")
看一下上面该程序对用户系统所做的众多修改,您就应该明白为什么我们对此程序格外关注,尽管该程序还没有表现出恶意行为。如果您想保留它,无所谓,但我肯定会将它从我的计算机上清除。
最后,总结一下,虽然有这样的BHO存在。但还是有很多对用户有帮助的BHO。 |
|
[复制链接]
IP卡
狗仔卡
发表于 2011-9-3 22:28
沉默卡
喧嚣卡
变色卡